可以使用命令行配置可信密钥提供程序。可以为 vCenter Server 或在 vCenter 对象层次结构中的集群级别或文件夹级别配置默认可信密钥提供程序。

前提条件

在受信任集群上,您必须具有包含加密操作.管理 KMS特权的角色。

过程

  1. 确保您已经以管理员身份连接到受信任集群的 vCenter Server
    例如,可以输入 $global:defaultviservers,显示所有连接的服务器。
  2. (可选) 如有必要,可以运行以下命令确保您已连接到受信任集群的 vCenter Server
    Disconnect-VIServer -server * -Confirm:$false
    Connect-VIServer -server TrustedCluster_VC_ip_address -User admin_user -Password 'password'
  3. 获取可信密钥提供程序。
    Get-KeyProvider

    可以使用 -Namekeyprovider 选项指定单个可信密钥提供程序。

  4. Get-KeyProvider 可信密钥提供程序信息分配给变量。
    例如,以下命令将信息分配给变量 $workload_kp
    $workload_kp = Get-KeyProvider

    如果您有多个可信密钥提供程序,则可以使用 Select-Object 选择其中一个密钥提供程序。

    $workload_kp = Get-KeyProvider | Select-Object -Index 0
  5. 注册可信密钥提供程序。
    Register-KeyProvider -KeyProvider $workload_kp

    要注册其他可信密钥提供程序,请重复步骤 4 和 5。

    注: 过一会儿后,所有主机才能获取密钥提供程序, vCenter Server 才会更新缓存。由于信息传播的方式,您可能需要等待几分钟后,才能使用密钥提供程序在某些主机上执行密钥操作。
  6. 设置要使用的默认可信密钥提供程序。
    1. 要在 vCenter Server 级别设置默认密钥提供程序,请运行以下命令。
      Set-KeyProvider -KeyProvider $workload_kp -DefaultForSystem
    2. 要在集群级别设置密钥提供程序,请运行以下命令。
      例如,以下命令为集群 Trusted Cluster 设置密钥提供程序。
      Add-EntityDefaultKeyProvider -KeyProvider $workload_kp -Entity 'Trusted Cluster'
    3. 要在文件夹级别设置密钥提供程序,请运行以下命令。
      例如,以下命令为在 workLoad 数据中心创建的文件夹 TC Folder 设置密钥提供程序。
      Add-EntityDefaultKeyProvider -KeyProvider $workload_kp -Entity 'TC Folder'

下一步做什么

使用可信密钥提供程序对虚拟机进行加密与在 vSphere 6.5 中首次提供的虚拟机加密用户体验看起来一样。请参见在 vSphere 环境中使用加密